在調查惡意程式時,尤其是木馬類型的程式,他基本特性就是要常駐,不能因為重開機就停止運作,不然就沒任何作用跟一般垃圾檔案沒兩樣,所以它得一直維持它的運作方法就是寫入開機啟動,但寫開機啟動方法好幾個,我舉常見的這四種方式。
1.Registry
Registry 就是我們常說的機碼、登入檔、註冊表,中文翻譯名稱很多反正就是說 Registry,在微軟網站敘述,提供用於表示 Windows 登錄中根目錄機碼的 RegistryKey 物件,以及用於存取機碼/值組的 static 方法。簡單來講就是全域變數有寫過程式的應該馬上就能理解,也就是說系統裡面程序一起來,會去看 Registry 當時的設定值,而執行當下該要執行的動作。好回歸正題,程式可以在 Registry 寫入開機啟動路徑如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
這路徑大家應該很常看到,但這開機啟動缺點就是權限只是一般使用者權限,如果還要更高權限的話就得用一些提權手法,但風險很高,要是被防毒攔截或更新不能用,該惡意程式就沒作用了,不過一般網路行為使用者權限就可以做到,要找非系統檔的私人文件也是一般權限就可以,所以就得看該惡意程式到底要做什麼行為,再來決定它本身是否要提高權限。
2.啟動目錄
在 Windows 底下的
C:\Users\[使用者名稱]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 或
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
放置要執行的程式或捷徑檔(.lnk),也是可以做到開機啟動,但缺點跟上述的 Registry 缺點一樣,最主要還是權限問題。
3.Service(服務)
Service 註冊開機啟動的手法在惡意程式上就較常看到了,因為權限是 System 也就是說非常高,權限高能對這台電腦的操作就非常多,但唯一的缺點就是不容易對使用者權限下的東西做操作,舉個例子:當我是 System 權限時,在 Registry 裡是看不到 HKEY_CURRENT_USER 底下的資訊,你得從 HKEY_USERS 找到該使用者的 SID 在往下尋找它底下的資訊,還有在寫程式時你想用 Windows API 取得當下使用者路徑時,也會抓不到該資訊,最後 System 權限所呼叫起來的程式權限都是 System ,除非要做很麻煩的權限轉換,我曾經利用其他權限的 Process 去做權限轉移,才把我呼叫起來的程式變成 Administrator 權限,那是相當麻煩的手法,所以 System 權限也不見得好用。
我們可以從工作管理員的 Service 列表或是 Registry 路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,去查詢本機當下所有的 Service。
我之前遇過一個案例,受害端的電腦是 Windows Server 2008,該惡意程式它在工作管理員的 Service 列表是看不到痕跡,但它有出現在 Registry 裡,也是可以正常開機啟動,我就照這手法實作一次,不用正規方式註冊 Service,直接寫入 Registry 我要啟動的程式資訊,結果從開機真的有跑起來,但是系統會主動幫我寫入 Service 列表裡,可能該惡意程式有去刪除 Service 列表吧!據我研究 Windows Service 列表是紀錄在 WMI 資料庫裡,它也許在這抹除自己的資訊。
4.Task Scheduler(工作排程)
簡單來講就是在 Windows 裡設定你自己的程式要在什麼時候執行,舉個例子:你可以每幾小時或幾分鐘甚至每幾秒執行一次,或是以天或月,你可以執行工作排程器去看裡面設定功能,可設定的條件非常多,甚至也可以執行是 Administrator 權限:
當然能在上面手動設定,就能用程式去寫入工作排程行為,惡意程式也是可以把自身啟動行為寫在這,所以有些潛伏很久才發作的惡意程式,可以試著從工作排程找看看痕跡。
要是對這些鑑識調查系統資訊模組或工具製作有興趣,可以到粉絲團 facebook.com/rexlintechnology 跟我留言或聯絡,不吝嗇給個讚跟追蹤吧!
